《彭博商業周刊》10月4日獨家報導〈大駭客:中國如何用一顆小晶片滲透美國企業〉,揭發中國軍方設計了一顆比米粒大不了多少的晶片,植入超微電腦生產的主機板後,便能開啟後門讓駭客來去自如。彭博還說包括蘋果、亞馬遜等30多家公司都是受害者,不過蘋果、亞馬遜均已聲明否認此事,美國的科技媒體也紛紛質疑,在主機板植入原設計以外的晶片極其困難,要找出來卻易如反掌,彭博的報導根本沒道理。
《彭博商業周刊》引述17個不具名消息來源,直指中國官員兩年來在下游合約商超微電腦(Super Micro Computer Inc.)的伺服器主機板植入惡意晶片,藉此滲透美國近30家企業,包括亞馬遜(Amazon)、蘋果(Apple)在內,此舉直到2015年才停止。《彭博》強調,這顆中國軍方所設計的晶片「非常不顯眼」,若沒有特殊設備,根本無法察覺主機板上多了個零件。
資安業界:不懂彭博說什麼?
但科技網站《主機板》(Motherboard)10日表示,彭博刊出報導後,網路安全業界都搞不清楚這則獨家到底在說什麼。因為這則報導的內容與現況不符,整起故事根本改變了網路安全的論述。
本‧古里安大學(Ben Gurion University)資工系的博士生史瓦茲(Omer Shvartz)說:「我想這則報導遺漏了太多細節」。史瓦茲去年發表的一篇文章,談的正是如何以惡意晶片達成一連串的駭客行動。但這位以色列的網路安全專家說,彭博報導的內容當然有可能,問題是他有一籮筐的問題想問:「我想看看那顆拆下來的晶片,至少讓我看看整張主機板的X光片。」
史瓦茲說:「如果想知道這顆晶片的功用是什麼,這個動作是進一步分析的標準程序。」
要找出惡意晶片很難?業界:才怪
一間專門販售檢查惡意晶片X光設備的公司—「創意電子」(Creative Electron)說,要找出被植入主機板的惡意晶片並不困難。「創意電子」的執行長卡多索(Bill Cardoso)說,他們從2016年起就提供這種設備,讓客戶可以利用X光系統檢查來自不同零售商的主機板。這種設備配備人工智慧引擎,可以依照主機板的原設計去找出主機板成品上有沒有什麼「外來物」。
《彭博》的報導提到中美政府機關,還有超微電腦、蘋果與亞馬遜等美國公司,但是包括中國政府、超微、蘋果與亞馬遜,對報導內容全都予以否認。美國國土安全部也說,沒有理由懷疑蘋果與亞馬遜提出的反駁。這讓不同意報導的資安業界,更想知道《彭博》的證據何在?由於這則涉及國安的報導幾乎全部引用匿名說法,加上沒有任何照片、影片佐證,也沒有揭露任何內部文件,資安專家們也難以判定,彭博是不是做了一回假新聞。
